Zoom在过去的数周吸引了广泛的注意，尤其是在当前新冠疫情期间许多组织让员工居家办公，Zoom也成为许多组织内部沟通的主要选择。

思科Talos团队的安全研究人员发现Zoom服务器端存在一个安全漏洞，攻击者可利用该漏洞获取组织内部的完整Zoom用户名单。该漏洞已经得到修复。

研究人员表示，该漏洞影响Zoom为用户提供的一个功能，该功能允许用户发现组织内部的联系人。

Zoom的聊天基于XMPP标准，这表示客户端发送一条“群查询”，XMPP请求指定一个群名称，在这种情况下，该群名称实际上是一个注册邮件域。

由于服务器没有验证请求，以确保用户让请求属于某个被查询的域，因而任意用户都可请求任意注册域的联系人名单。

要利用该漏洞，攻击者需要使用合法的用户账户通过Zoom的身份认证，接着通过发送一条特制的XMPP信息接收与目标域关联的用户名单。

攻击者可通过Zoom服务器的回复获取注册在该域的用户目录。

思科Talos团队揭示，“这些详细信息包括自动生成的XMPP用户名以及用户的姓名。该信息结合其他XMPP查询可被用于泄露更多的联系信息，包括用户的邮件地址，电话号码和他们的vCard中存在的任何其他信息。”

研究人员表示，该漏洞可能已经在一场钓鱼攻击中遭到利用，该钓鱼攻击针对已知的个人用户，意图获取组织内的所有Zoom用户的邮件地址。

这样的攻击主要暴露了最近不得不安装新的远程办公软件的用户。尤其，攻击者可通过构造基于社会工程学的邮件提供“ZoomClient”安装或更新指导，借此安装特洛伊木马。

Talos团队总结认为，“由于视频会议突然成为一项业务关键的功能，攻击者预计会寻找可利用的漏洞，进一步达到他们的恶意目的。组织需要意识到类似的用户枚举攻击的风险，并采取必要的措施缓解此类攻击的风险。”

Zoom公司已经修复了该漏洞。由于该漏洞存在于服务器端，用户和管理员不需要采取另外的防护措施。

本文源自Security Week；转载请注明出处。